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TECHNOLOGIE 


Amélioration 
du niveau de sécurité 


des systèmes à microprocesseur 
par application 
du concept de redondance 

l re partie 


Le concept de redondance existe depuis bien longtemps dans 
des domaines aussi vaiiés que la mécanique, l’hydraulique, le 
pneumatique ou l’électrique; avec l’avènement des circuits à 
microprocesseurs, les concepteurs et utilisateurs l’utilisent à 
présent pour améliorer le niveau de sécurité des systèmes 
électroniques. La première partie de cet article est un 
recensement des différents cas de redondance rencontrés dans 
les systèmes à microprocesseur ; une étude détaillée est 
effectuée sur les architectures de systèmes devant fonctionner 
en sécurité positive, la notion de disponibilité de systèmes 
n’étant ici citée que pour mémoire. 


Introduction 

Ce n’est pas l’avènement de 
l’électronique depuis quelques 
décennies qui a créé le concept de 
redondance, celui-ci existe depuis 
bien longtemps et a été mis en 
œuvre dans des domaines variés 
utilisant la mécanique, l’hydrauli¬ 
que, le pneumatique ou l’électri¬ 
que. 

Avec l’apparition sur le marche 
depuis quelques années des systè¬ 
mes à microprocesseur, la redon¬ 


dance a trouvé un nouveau 
domaine d’application, son rôle 
étant toujours de permettre à un 
dispositif d’effectuer une mission 
donnée malgré la présence de 
défaillances internes. 

Avant de développer plus en 
détail le sujet de ce document, il est 
bon de rappeler brièvement quel¬ 
ques définitions d’usage courant : 

- fiabilité : aptitude d’un dispositif 
à assurer une fonction imposée, 
dans des conditions données, pen¬ 
dant une durée donnée [1]; 

- disponibilité : aptitude d’un dis- 


B. Kopka et J.-P. Gérardin 

INRS. Centre de Recherche 
Département « Ergonomie-Sécurité » 
Section « Électronique-Sécurité 
de Systèmes » 

BP 27. 54501 Vandœuvre Cedex 


Improving the safety level 
of programmable electronic 
Systems by application 
ofthe concept ofredundancy 

The concept of redundant design 
lias long been présent within the 
various technical disciplines such 
as mechanics, hydraulics, or elec- 
tricity. With the advent ofmicro- 
processor circuits, designers and 
users now make use of redun- 
dancy to improve the safety level 
of electronic Systems. 

This first part of this article is a 
listing of the different cases of 
redundancy applicable to pro¬ 
grammable electronic Systems. 

A detailed reviews is given of the 
System architectures which must 
hâve fait safe operation. System 
availability is mentioned only as a 
reminder. 
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positif à remplir sa fonction requise 
à un instant donné ou pendant une 
période de temps donnée [2]; 

— sécurité ! absence de circons¬ 
tance susceptible d’occasionner, 
soit accident ou mort du personnel, 
soit dégradation ou perte d’équipe¬ 
ment ou de bien [3]; 

- sécurité positive : conception de 
dispositif telle qu’une défaillance 
n’altère pas la sécurité : 

une simple défaillance ne doit pas 
être la cause de dégradation du 
niveau de sécurité du système, 

. une défaillance non détectée ne 
doit pas, en conjonction avec l’arri¬ 
vée d’une deuxième défaillance, 
être la cause de risque supplémen¬ 
taire; 

sécurité intrinsèque : un compo¬ 
sant est dit à sécurité intrinsèque 
lorsqu’il est capable de détecter ses 
propres défaillances ou lorsque ces 
dernières sont telles qu’elles provo¬ 


quent toujours le même comporte¬ 
ment du composant. 

L’électronique a évolué considé¬ 
rablement depuis quelques années 
grâce notamment à la création de 
circuits électroniques à très large 
échelle d’intégration (VLSI). De ce 
fait, des domaines industriels aussi 
variés que la robotique, la chimie, 
le nucléaire ou des secteurs tels que 
les banques voient petit à petit leur 
structure se modifier grâce à 1 appa¬ 
rition de systèmes à microproces¬ 
seur; de même, cette nouvelle élec¬ 
tronique s’installe de plus en plus 
dans les foyers et l’on peut la trou¬ 
ver sous différentes formes allant 
des applications ménagères aux loi- 

L’électronique traditionnelle à 
éléments discrets (transistors, dio¬ 
des...) tend à disparaître de plus en 
plus de ces applications et avec elle 
son avantage fondamental : la 


connaissance de ses modes de 
défaillances. En effet, avec l’avène¬ 
ment des systèmes à microproces¬ 
seur sont apparus des modes de 
défaillances multiples et complexes 
difficilement appréhendables et qui 
sont un peu la contrepartie de leurs 
nombreux avantages : 

- la miniaturisation des compo¬ 
sants électroniques permet 
d’implanter ces systèmes pratique¬ 
ment partout et cela avec un coût 
total allant en diminuant, 

- la puissance de calcul et l’utilisa¬ 
tion de mémoires à grande capacité 
de stockage autorisent des calculs 
complexes dans tous les domaines, 

- une grande souplesse d’utilisa¬ 
tion les rend facilement modifiables 
donc adaptables à tout type de pro¬ 
blème, 

- la fiabilité globale d’un tel sys¬ 
tème est supérieure à celle d’un sys¬ 
tème équivalent réalisé en électro- 



Massive 



Sans contrôle 


REDONDANCE 


Avec contrôle- 


Active- 


-Comparateur- 


-Voteur- 


Sélective 



Passive- 


-Tiède- 


-Froide- 


■ Homogène 
-Hétérogène 
-Homogène 
-Hétérogène 
-Homogène 
-Hétérogène 
-Homogène 

-Hétérogène 

-Homogène 
-Hétérogène 
-Homogène 
-Hétérogène 


Ce type d'arbre s'applique à une 


redondance matérielle ou logicielle, globale ou locale. 
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F urp ? • Architectures de systèmes utilisant la redondance à des fins de sécurité et/ou disponibilité. 
8 ' System architectures wlucl, use redundancy for safety cmd/or avmlabihty. __ 


Architecture 



H 


s 
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E 
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el 


Comparateur 

-* 


e2 


el 


ep 


JVoteur 




Désignation 


Redondance massive 
sans contrôle 


el = e2 : homogène 
el A e2 : hétérogène 


Redondance massive 
avec contrôle par 
comparateur 


el = e2 : homogène 
el=£ e2 : hétérogène 


Spécification 


Il s’agit d’un doublage pur et simple. 
Les deux unités el et e2 assurent la 
réalisation de la mission en même 
temps; la défaillance d’une chaîne est 
masquée par le fonctionnement de la 
seconde. Ce type d’architecture est 
utilisé pour assurer la disponibilité 
d’un système. Associée à un dispositif 
d’auto-contrôle, elle est parfois utili- 
lisée pour assurer la sécurité. 


Redondance massive 
avec contrôle 
par voteur 

Voteur p parmi n 
avec p > n/2 

el = e2 = ... = ep = . 
= en : homogène 
el =Ée2 A ... Aep=£. 
A en : hétérogène 


Les deux unités el et e2 assurent 
toutes deux la réalisation de la mis¬ 
sion; le test des résultats de sortie est 
assuré par un comparateur qui. met le 
système dans un état de sécurité lors 
de toute divergence entre les deux 

chaînes. ... _ 

Ce type d’architecture est utilise pour 
assurer la sécurité d’un système. 


Chaque unité ei assure la réalisation 
de la mission; un voteur effectue le 
contrôle des résultats de sortie fournis 
par les différentes chaînes. Il fournit 
une sortie relative à p résultats iden¬ 
tiques parmi n possibles : si plus de 
(n-p) résultats de sortie divergent, le 
système est mis dans un état de 

sécurité. , 

Ce type d’architecture est utilise pour 
assurer la disponibilité et la sécurité 
d’un système._ 


Référence 


nique traditionnelle. 

Cette liste d’avantages est non 
exhaustive; on peut toutefois con¬ 
clure en remarque générale que les 
systèmes à microprocesseur ont des 
encombrements de plus en plus fai¬ 
bles pour des capacités de traite¬ 
ment de plus en plus grandes. 
Cependant le manque de connais¬ 
sances concernant les differents 
types de défaillances pouvant sur¬ 
venir dans les circuits intégrés 
remet en cause le facteur « secu¬ 
rité ». , , 

Dans le cadre d’études relatives a 

la sécurité du personnel, 1 l.N.K.î». 
poursuit actuellement une analyse 
de la redondance et de son applica¬ 
tion à l’amélioration du niveau de 
sécurité des systèmes à micropro¬ 
cesseur. 


Lorsque de tels systèmes sont 
utilisés en tant que circuits de com¬ 
mande de machines, ils doivent res¬ 
pecter l’article R 233-97, du code 
du travail ; « Prévention des effets 
dangereux des défaillances du sys¬ 
tème d’alimentation en énergie et 
du circuit de commande », 14] a 
savoir : 

« Une défaillance, une panne ou 
une détérioration du système d’ali¬ 
mentation en énergie ou du circuit 
de commande des machines et 
appareils ne doit : 

- ni provoquer la mise en marche 

intempestive d’un élément mobile 
de la machine, . 

- ni rendre inefficace les dispositifs 
de protection des éléments mobi¬ 
les », ce que nous résumerons par 
le fait que le système doit être 


conçu en sécurité positive. 

Le présent document est un 
recensement des différentes formes 
de redondance rencontrées dans les 
systèmes à microprocesseur. Il 
constitue une synthèse bibliogra¬ 
phique réalisée de façon prélimi¬ 
naire à un travail de doctorat effec¬ 
tué au Service Électronique-Sécu¬ 
rité des Systèmes de l’I.N.R.S. à 
Vandœuvre. 

Le lecteur pourra trouver dans 

cet article : . . 

- un ensemble de définitions et 

d’architectures de systèmes redon¬ 
dants, . , 

- une étude sur l’application du 
concept de redondance : 

. au niveau des organes de traite¬ 
ment qu’ils soient matériels ou/et 
logiciels; 
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Figure .? : Architectures de systèmes utilisant la redondance à des lins de sécurité et/ou disponibilité (suite). 
System architectures which use redundancy for safety and/or availahility (contitmed). 



Désignation 


Redondance sélective 
active 


el = e2 : homogène 
el + e2 : hétérogène 



Redondance sélective 
passive 


el = e2 : homogène 
el =£ e2 : hétérogène 


Spécification 


Les unités el et e2 assurent toutes 
deux la réalisation de la mission; un 
superviseur effectue la comparaison 
des résultats de traitement : 

- seuls les résultats de el sont validés 
en sortie du système en cas de conver¬ 
gence, 

- en cas de divergence, le superviseur 
localise l’unité défaillante à l’aide 
d’un programme-test et effectue le 
basculement du commutateur selon le 
résultat obtenu. 

Ce type d’architecture est utilisé pour 
assurer la disponibilité d’un système. 

- Tiède : 

l’unité el assure seule la réalisation de 
la mission, l’unité e2 est utilisée pour 
réaliser des tâches secondaires; ce 
n’est qu’après défaillance de el que e2 
sera utilisée pour assurer la mission 
requise, les données nécessaires à la 
reprise sont mémorisées à intervalles 
réguliers à l’intérieur de mémoires de 
e2 par l’intermédiaire du superviseur. 
Ce type d’architecture est utilisé pour 
assurer la disponibilité d’un système. 

- Froide : 

l’unité el assure seule la réalisation de 
la mission, l’unité e2 est inactive ou 
totalement déconnectée. 

Ce n’est qu’après défaillance de el 
que e2, après une initialisation com¬ 
plète, assurera la réalisation de la 
mission. 

Ce type d’architecture est utilisé 
pour assurer la disponibilité d’un 
système. 


Référence 


. au niveau des informations, lors 
des phases acquisition et traite¬ 
ment. 

Généralités et définitions 

A propos du mot « redondance » 

Le Larousse Etymologique [5] 
donne pour le mot « redondan¬ 
ce » : XIV e siècle, du latin redun- 
dantia, de redundare « même évo¬ 
lution de sens ». 

L’origine latine du mot redon¬ 
dance est explicitée dans [6] : 


redundantia : trop plein, déborde¬ 
ment, excès, redondance (de style). 

Ces deux définitions se résument 
par le fait que la redondance est un 
excès dans un discours ou une émis¬ 
sion de signal, avec une même évo¬ 
lution de sens. 

Si la redondance verbale a pour 
but de renforcer la compréhension 
ou d’enjoliver un message, la 
redondance utilisée en électronique 
est là pour améliorer la sécurité (et/ 
ou la disponibilité), sans pour 
autant ajouter quelque chose au 
fonctionnement de base. C’est ce 
que traduit la définition de ce mot 


dans la norme NF Z 61-000 [1] : 
« multiplications de certains com¬ 
posants, sous-systèmes, systèmes 
dans le but d’assurer une mission 
donnée en présence de défaillan¬ 
ces ». 

Dans la suite de ce document, 
certaines architectures décrites sont 
utilisées pour assurer la disponibi¬ 
lité d’un dispositif : elles corres¬ 
pondent à des systèmes dits « à 
tolérance aux fautes ». Notre 
préoccupation étant principale¬ 
ment la sécurité des systèmes, nous 
ne les développerons pas davan¬ 
tage. 
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Figure 6 : Architectures de P.E. redondants utilisés pour assurer la sécurité. 
P.E. redundant architectures which are used to assure safety. 
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(avec d'autres P.E.S) 


Capteurs, dispositifs 
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£ 
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dispositifs de contrôle 


— 
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-> 
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—o 


T- 
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Entrées 
Interfaces 
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Sorties 
Interfaces 
Convertisseurs N/A 


P.E.S 


Différentes formes 
de redondances [7] 

Nous distinguerons deux catégo¬ 
ries selon que la redondance 
s’applique à l’organe de traitement, 
ou à l’information traitée. 

Auparavant, nous donnerons les 
définitions suivantes : 

- unité ou cliaîne primaire : partie 
ou ensemble d’un système qui est 
reproduit à un ordre n déterminé et 
qui, à lui seul, est capable d’effec¬ 
tuer la mission requise; 

- unité ou chaîne redondante : 
reproduction de l’unité primaire; 

- degré ou ordre d’une redon¬ 
dance : correspond au nombre de 
n-plications effectuées sur le sys¬ 
tème considéré; 

- tâche : succession de séquences 
d’instructions; 

- mission : succession de tâches. 

• Redondance 
de l’organe de traitement 

nature de la redondance 

- massive : l’unité (ou les unités) 
redondante(s) effectue(nt) la mis¬ 
sion au même titre que l’unité pri¬ 
maire, le processus étant piloté par 
l’ensemble des sorties des différen¬ 
tes chaînes, soit directement, soit à 
travers un organe de contrôle qui 
peut prendre l’une des deux formes 
suivantes : 

. comparateur : toute divergence 


des résultats de sortie de chacune 
des chaînes entraîne l’arrêt ou la 
mise en sécurité du processus. Ce 
type de contrôle est utilisé pour 
assurer la sécurité d’un système; 

. voteur : suivant le nombre d’uni¬ 
tés constituant le système et selon 
le critère de vote choisi (par exem¬ 
ple, deux réponses bonnes parmi 


trois (2/3), trois parmi quatre (3/ 
4),...), un certain nombre de diver¬ 
gences au niveau des résultats de 
sortie de chacune des chaînes peu¬ 
vent être masquées. Ce type de 
contrôle est utilisé pour assurer la 
sécurité et la disponibilité d’un sys¬ 
tème. 

- Sélective : seules les sorties de 
l’unité primaire commandent le 
processus. En cas de défaillance de 
celle-ci, c’est la ou l’une des unités 
redondantes qui assurera la conti¬ 
nuité de la mission. Il existe donc 
un organe de décision qui détecte 
les défaillances et assure ou 
demande la commutation d’une 
unité de secours sur le processus. 

Selon la nature du fonctionne¬ 
ment de l’unité redondante, on dis¬ 
tingue deux cas de redondance 
sélective : 

. la redondance sélective active 
(appelée aussi redondance dynami¬ 
que) pour laquelle l’ensemble des 
unités effectue les mêmes traite¬ 
ments, l’unité (ou les unités) redon¬ 
dante^) étant toujours en attente 
pour remplacer l’unité primaire en 
cas de défaillance de celle-ci; 

. la redondance sélective passive 
(appelée aussi redondance stati¬ 
que) pour laquelle l’unité (ou les 


Figure J : Arbre regroupant les différents cas de redondance de 1 organe de traite¬ 
ment pour assurer la sécurité. , . , 

Tree wliicli subdivides lhe different cases of redundant information Proces¬ 
sing éléments which assure safety. 


.Par comparateur- 


-Homogène 

-Hétérogène 


Redondance massive; 
avec contrôle 


Par voteur - 


-Homogène 

-Hétérogène 
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Figure 4 : Diagramme illustrant les termes P.E. et P.E.S. 
Diagram of P.E. and P.E.S. tenus. 


Architecture 



Désignation 


Redondance matérielle 
globale homogène 
d’ordre 2 


Redondance matérielle 
globale hétérogène 
d’ordre 2. 


Redondance matérielle 
globale hétérogène 
d’ordre 2. 


Spécification 


Les deux P.E. effectuent la même 
mission; le comparateur effectue le 
contrôle de coïncidence des résultats 
fournis par chacune des P.E. : toute 
divergence entraîne la mise en sécu¬ 
rité du système. Le comparateur doit 
être en sécurité intrinsèque, capable 
de détecter ses propres défauts. 


Identique à référence 1. 

Les deux chaînes sont dans ce cas 
différentes tant au niveau matériel 
que logiciel (Ml M2 et L1 L2). 


Référence 


Identique à référence 1. 
L’hétérogénéité se situe ici seulement 
au niveau logiciel (L1 =£ L2). 


unités) redondante(s) effectue(nt) 
des missions différentes de celle 
réalisée par l’unité primaire (géné¬ 
ralement des tâches secondaires); 
la défaillance de l’unité primaire 
entraîne la communication sur 
l’une des unités redondantes : 

- si les unités en attente disposent 
des informations pour assurer 
directement la reprise en main du 
système lors d’une défaillance de 
1’unité primaire, on parlera de 
redondance sélective passive tiède; 

- si une initialisation totale, auto¬ 
matique ou manuelle (unité en 
attente inactive ou non alimentée) 
est nécessaire à la reprise par 
l’unité en attente, on parlera de 
redondance sélective passive 
froide. 


La redondance sélective est utili¬ 
sée pour assurer la disponibilité 
d’un système. 

type de la redondance 

- globale : elle correspond à la 
duplication (n-plication) de 
l’ensemble du système; 

- locale : elle correspond à la 
duplication (n-plication) d’une par¬ 
tie du système. 

niveau d’application de la redon¬ 
dance 

- matérielle : elle correspond à la 
duplication (n-plication) du maté¬ 
riel ou d'une partie du matériel 
constituant le système; 

- logicielle : elle correspond à la 
duplication (n-plication) du logiciel 


ou d’une partie du logicel d’un sys¬ 
tème à une seule chaîne. 

mise en œuvre de la redondance 

- homogène : les parties redon¬ 
dantes et primaire sont totalement 
identiques et ce, au niveau matériel 
et logiciel; 

- hétérogène : les parties redon¬ 
dantes et primaire sont différentes 
et ce au niveau matériel et/ou logi¬ 
ciel. Selon le cas, le degré d’hétéro¬ 
généité sera plus ou moins impor¬ 
tant suivant que l’on utilisera une 
logique, une architecture ou une 
technologie différente (cf. chapitre 
« redondance matérielle »). 

Les différentes possibilités de 
redondance énoncées précédem¬ 
ment sont illustrées par la figure 1. 
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Figure 7 : Architectures de P.E. redondants utilisés pour assurer la sécurité (suite). 

P.E. redundatU architectures which are used to assure safety (contmued). 


Architecture 



Voteur de type p parmi n 
avec p > n/2 


Désignation 

Redondance matérielle 
globale d’ordre n 

— homogène si 
P.E. (i) = P.E. (j) 
i = l...n, t j 

- hétérogène si 
P.E. (i)* P.E. (j) 
i = l...n, i =£ j 


Spécification 


Référence 


Les n P.E. effectuent la même mis¬ 
sion. Un voteur à sécurité intrin¬ 
sèque effectue le contrôle des diffé¬ 
rentes sorties. Il fournit une sortie 
relative à p résultats identiques parmi 
n possibles : si plus de (n-p) résultats 
de sortie divergent, le système est mis 
dans un état de sécurité. 


1 P.E 1 

E 


-d 


Suite du traitement 
Mise en sécurité 


Redondance matérielle 
locale d’ordre 2 : 

- homogène si 
M 11 = M 12 

- hétérogène si 
M 11 =A M 12 


L’élément redondant matériel effec¬ 
tue la mission au même titre que 
l’élément primaire. Un comparateur 
vérifie la coïncidence des résultats 
de sortie et déclenche une mise en 
sécurité en cas de divergence. 
Remarque : il est possible pour un 
ordre supérieur à 2 d’utiliser un 
voteur : la redondance matérielle 
locale sera dans ce cas de type : 

- CsiMll = M12 = M13 =. 

- D si M11 * M 12 M 13 *. 


i pj _i 

li 

LU 



Suite du traitement 
Mise en sécurité 


Redondance logicielle 
locale d’ordre 2 : 

- homogène si 
L 11 = L12 

- hétérogène si 
L 11 ^ L 12 


L’élément redondant logiciel effec¬ 
tue la mission au même titre que 
l’élément primaire. Un comparateur 
vérifie la coïncidence des résultats 
de sortie et déclenche une mise en 
sécurité en cas de divergence. 
Remarque : il est possible pour un 
ordre supérieur à 2 d’utiliser un 
voteur : la redondance logicielle 
locale sera dans ce cas de type : 

- C si L 11 = L 12 = L13 =. 

- D si L 11 ^ L 12 # L13 =£. 


• Redondance 

de l’informatique traitée 

La redondance d’informations 
correspond à l’adjonction à un mot 
d’informations, de bits supplémen¬ 
taires dans le but d’en assurer le 
contrôle. 

• Redondance hybride 

Elle correspond à une combinai¬ 
son des différentes formes de 
redondances citées précédemment 
et cela sur un même système. 


Référence 


Redondance massive : 

- sans contrôle 

- avec contrôle : - par comparateur 

- par voteur 

Redondance sélective : 

- active 

- passive : - tiède 

- froide 


Les figures 2 et 3 illustrent les références 1 à 6 citées ci-dessus. 
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Architectures des systèmes 
utilisant la redondance 
à des tins de sécurité 
et/ou de disponibilité 

Les architectures décrites s’appli¬ 
quent pour des redondances de 
type matériel ou logiciel, qu’elles 
soient globales ou locales. 

Architectures d’électroniques 
programmables redondantes 
utilisées pour assurer 
la sécurité [8] 

Dans ce paragraphe et dans la 
suite de ce document, nous nous 
intéressons uniquement aux Elec¬ 
troniques Programmables, chez les 
Anglo-Saxons « Programmable 
Electronics » (P.E.) : cette termi¬ 
nologie est celle utilisée par un 
groupe de travail de la Commu¬ 
nauté Européenne regroupant sept 
organismes de quatre pays diffé¬ 


rents (R.F.A., Grande-Bretagne, 
Danemark et France) et auquel 
participe l’I.N.R.S. 

Avant de détailler les architectu¬ 
res de ces électroniques program¬ 
mables, il est bon de préciser la dif¬ 
férence entre les deux abréviations : 

- P.E.S. : Système Electronique 
Programmable; 

- P.E. : Electronique Programma¬ 
ble. 

La figure 4 illustre les deux ter¬ 
mes P.E. et P.E.S. [9]. 

Seules les architectures de P.E. 
utilisées pour assurer la sécurité 
seront considérées : les références 
2 et 3 du paragraphe III seront 
donc les seules développées. 

La redondance massive sans con¬ 
trôle, homogène ou hétérogène est 
utilisée en général de façon locale, 
soit au niveau de composants (dou¬ 
blage des relais de sortie par exem¬ 
ple), soit au niveau de sous-ensem¬ 
bles (alimentation secourue...); 
cette redondance n’étant pas spé¬ 


cifique aux P.E., nous ne la déve¬ 
lopperons pas davantage. 

Pour l’application à la sécurité 
des systèmes électronique, l’arbre 
de la figure 1 se réduit à la figure 5, 
représentée page 48. 

Cette redondance massive avec 
contrôle s’applique à du matériel 
ou du logiciel, elle peut être globale 
ou locale. 

Les figures 6 et 7 illustrent les 
architectures de P.E. redondantes, 
utilisant la redondance massive 
avec contrôle. 

Les abréviations L et M utilisées 
se rapportent respectivement à 
Logiciel et Matériel. 
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Amélioration 

du niveau de sécurité 

des systèmes à microprocesseur 

par application 

du concept de redondance 

2 e partie 


Les différents cas de redondance sont développés dans 
cette partie : nous nous limitons à l’étude des architectures 
de systèmes devant fonctionner en sécurité positive. 

Les redondances matérielle, logicielle et d’information 
sont décrites afin d’aiguiller concepteurs et utilisateurs sur 
le choix de formes de redondance à utiliser selon 
les contraintes de mise au point, coût, maintenance et selon 
le niveau de sécurité recherché. 

Redondance matérielle 


Redondance de Vorgane 
de traitement 

Dans ce chapitre, nous allons 
étudier quelques-unes des métho¬ 
des de mise en œuvre du principe 
de redondance couramment utili¬ 
sées dans les systèmes à micropro- 
cesseur en essayant de préciser les 
avantages et les inconvénients de 
chacune d'entre elles et en analy¬ 
sant le niveau de sécurité qu’elles 
procurent. 


• Redondance locale [1] 

Nous considérons la redondance 
matérielle locale sur une chaîne 
unique : elle correspond à la dupli¬ 
cation ou n-plication d’éléments 
vitaux dont la défaillance pourrait 
entraîner une situation dangereuse. 
Le choix des sous-ensembles 
devant être dupliqués sera laissé au 
concepteur du système qui, à partir 
du cahier des charges, de la no- 


B. Kopka et J.P. Gérardin 

INKS, Centre de Recherche 
Département « Ergonomie-Sécurité » 
Section « Électronique-Sécurité 
de Systèmes » 

BP 27, 54501 Vandœuvre Cedex. 


Improving the safety level 
of programmable electronic 
Systems by application 
of the concept ofredundancy 

The different cases ofredundancy 
are developed in this part: we will 
limit this article to a review of Sys¬ 
tem architectures which must 
hâve fail safe operation. Hard¬ 
ware, software and information 
redundancies are described to 
guide designers and users in 
making choices as to which form 
of redundancy to use within the 
constraints of development, cost, 
and maintenance and according 
to the safety level desired. _ 
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menclature des éléments utilisés et 
de leurs caractéristiques, établira la 
liste des éléments ou groupe d élé¬ 
ments susceptibles d’entraîner des 
situations dangereuses apres dé¬ 
faillance. , , 

Ce pourrait être, par exemple, la 
duplication du microprocesseur et 
de ses entrées, selon le schéma de 
la figure 8. 

Redondance globale [1], [2], [3] 

Nous considérons le cas de systè¬ 
mes électroniques totalement 
lupliqués ou n-pliqués^ possédant 
:omme organe de contrôle de coïn¬ 
cidence un comparateur ou un 
mteur. 

Homogène 

Chaînes synchronisées [4] 
L’acquisition des données, le 
raitement de l’information et la 
ibération des valeurs de sorties 
ers l’organe de contrôle sont tota- 
sment synchrones. La figure y 
llustre le déroulement temporel de 
rois chaînes synchronisées. 

0 = T'O = T'O; Tl = T'1 = T"l; 
7 = T'2 = T"2; T3 = T'3 = T"3 

Une comparaison permanente 
oit être effectuée au niveau des 
îfornrations délivrées en sortie : 
organe de contrôle de coïncidence 
:omparateur ou voteur) doit de- 
îcter toute divergence de résultats 
ar l’ensemble des chaînes. 
L’utilisation de chaînes îdenti- 
ues synchronisées ne met pas le 
/stème à l’abri des défaillances de 
iode commun; en effet, une per- 
îrbation (microcoupure, surten¬ 
on parasite conduit ou rayon- 
é ) peut altérer le système au 
loinent de la lecture des données, 
a cours du traitement ou a la libe- 
ition des valeurs de sorties : cha- 
système délivre alors, vers 
organe de contrôle de coïnci- 
ence, la même valeur erronee. Ce 
srnier est alors incapable de dece- 
r la défaillance. 

Pour remédier à cet mconve- 
ient, on peut utiliser des chaînes 
lentiques quasi synchronisées. 

Chaînes 

aasi synchronisées 12); [4| 


L’acquisition des données, Je 
traitement de l’information et la 
libération des valeurs de sorties 
vers l’organe de contrôle sont de- 
calés dans le temps : quelques pé¬ 
riodes d’horloge séparent chacun 
des débuts de cycles de l’ensemb e 
des chaînes de façon à ce que la 
même instruction ne soit jamais 
effectuée au même instant dans 

deux chaînes différentes. 

La figure 10 illustre le deroule¬ 
ment temporel de trois chaînes 
quasi synchronisées. 


T"i = T'i + AT; T'i 


Ti + AT 

Le dispositif de contrôle de coïn¬ 
cidence acquiert les valeurs de sor¬ 
tie une à une et délivre une valeur 
de sortie finale après la lecture des 
résultats de la dernière chaîne Le 
processus évoluant avec des chaî¬ 
nes dont le fonctionnement est 
décalé dans le temps, tout parasi¬ 
tage affectant le système produira 
des effets différents d’une chaîne 
par rapport aux autres : il y aura 
discordance et, par conséquent, dé¬ 
tection par le système de coinci- 
clence. 

Toutefois, des problèmes nou 
veaux sont engendrés par l’utilisa¬ 
tion de cette méthode : une modi¬ 
fication des données peut intervenir 
dans le laps de temps séparant les 
lectures effectuées par chacune des 
voies; le dispositif de coïncidence 
ne peut pas faire la différence entre 
panne sur une chaîne et désaccord 
passager : ce conflit est appelé « di¬ 


vergence » et peut être résolu pai 
l’établissement d’un dialogue entre 
chaînes. Ces dernières, au cours 
des phases d’acquisition des en¬ 
trées, comparent mutuellement 
leurs données et procèdent à une 
nouvelle lecture tant qu il n y a pas 
identité parfaite entre toutes les 
valeurs lues : ce type de dialogue 
est appelé « antidivergence ». 

La figure 11 illustre l’architecture 
d’un système redondant compose 
de deux chaînes identiques. 

Hétérogène [4], [5] 

Chaque chaîne est physiquement 
différente : par son principe, la re¬ 
dondance hétérogène permet de 
supprimer la plupart des defauts de 
mode commun. En effet, chacune 
des chaînes constituant le système 
aura en principe une réaction ditte- 
rente lors de l’apparition de pertur¬ 
bations. 

. Techniques différentes 

La méthode la plus radicale et la 
plus extrême pour éliminer les de¬ 
fauts de mode commun correspond 
à l’utilisation, pour chacune des 
chaînes du dispositif, de tecjiniques 
différentes : pneumatique, hydrau¬ 
lique, à relais ou électronique clas¬ 
sique, le concepteur peut diversifier 
chacune des chaînes de façon a 
obtenir une redondance à tort 
niveau d’hétérogénéité. 

Un exemple possible est celui de 
la figure 12 où l’on trouve un sys¬ 
tème constitué d’une carte à micro¬ 
processeur dupliquée par une logi¬ 
que électromécanique. 


Figure 8 _ Exemple 
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L’utilisation d’une telle méthode 
assure à un système un niveau de 
sécurité très élevé; cette solution 
reste envisageable malgré les pro¬ 
blèmes qui lui sont associés : 

- calculs de fonctions complexes 
impossibles à réaliser avec certai¬ 
nes techniques, 

- problème de différence de temps 
de réponse entre les chaînes, 

- nécessité de mettre en œuvre des 
interfaces d’entrées et de sorties 
pour assurer la compatibilité des 
signaux à traiter d’une part et à 
comparer d’autre part au niveau du 
dispositif de contrôle de coïnci¬ 
dence, 

- encombrement matériel impor¬ 
tant de certaines techniques par 
rapport à l’utilisation de chaînes 
électroniques à circuits intégrés 
(LSI, VLSI, ...). 

De plus, cette complexité de 
mise en œuvre aura d’importantes 
répercussions sur le coût final du 
système, sa durée de mise au point 
et sa facilité de maintenance. 

. Technologies différentes 

La technologie apparaît comme 
étant une classe d’une technique 
donnée. Plus utilisée par les profes¬ 
sionnels de la sécurité, la redon¬ 
dance utilisant des technologies dif¬ 
férentes présente moins d’inconve- 
nients que l’utilisation de techni¬ 
ques différentes. 

L'exemple de la figure 13 illustre 
un système, utilisant la technique 
électronique, constitué de deux 
chaînes construites autour de mi¬ 
croprocesseurs de technologies dif¬ 
férentes. 

Grâce à des facteurs d immunité 
aux bruits différents selon la tech¬ 
nologie, le comportement de cha¬ 
que chaîne est différent lors de 
Fapparition de parasites : la discor¬ 
dance est détectable par le système 
de coïncidence. Des problèmes 
subsistent au niveau de la vitesse 
d’exécution, du synchronisme et de 
la compatibilité technologique. 

. Architectures différentes 

La redondance hétérogène basee 
sur des architectures différentes 
correspond à l’utilisation, pour cha¬ 
que chaîne, de cartes électroniques 
standard, et organisées de manières 
différentes. , 

Cette méthode est illustrée par la 


Fjgure 9 _ Utilisation de chaînes identiques synchronisées : diagramme temporel pour 

— t/"e titning diagram for a redwulancy with 

tltree chunnels. 
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figure 14 où l’on trouve un système 
constitué de trois chaînes en techni¬ 
que électronique et réparti comme 
suit : 

- chaîne n° 1 : carte microproces¬ 
seur, fabricant X, 

- chaîne n° 2 : carte microproces¬ 
seur, fabricant Y, 

- chaîne n° 3 : carte microproces¬ 
seur, fabricant Z. 

Cette méthode peut parfois être 
couplée avec celle concernant l’uti¬ 
lisation de technologies différentes, 
architecture et composants étant 
différents. 

. Logiciels différents [6], [7] 

Des logiciels différents sont utili¬ 
sés pour chacune des chaînes : la 
redondance est hétérogène au 
niveau du logiciel. L’acquisition 
des valeurs d’entrées peut s’effec¬ 
tuer de manière synchronisée ou 
quasi-synchronisée, la deuxième 
solution devant permettre l’élimi¬ 
nation des défauts de parasitage 
lorsque l’entrée est commune à 
toutes les chaînes. 


Les logiciels constituant chacune 
des chaînes doivent être conçus, 
vérifiés par des équipes « logiciel¬ 
les » différentes et élaborés à partir 
du même cahier des charges. 

Outre la difficulté et la com¬ 
plexité de la mise en œuvre, quel¬ 
ques problèmes sont liés à cette 
méthode : 

- le temps total de mise au point 
est important pour ce type de réali¬ 
sation, 

- le coût total est d’autant plus 
élevé que le nombre de chaînes 
constituant le système est impor¬ 
tant. 

Dans cette partie, le lecteur a été 
sensibilisé aux différentes formes 
de redondance matérielle. 

L’hétérogénéité semble théori¬ 
quement être la méthode qui pro¬ 
cure le niveau de sécurité le plus 
élevé. Tout concepteur désirant 
élaborer un système à microproces¬ 
seur de sécurité devra, lors du 
choix de la forme de redondance à 
utiliser, faire la part des choses 




Électronique, Techniques et Industries, n" 25, 1S octobre 1985 



AP PLICATION 

TECHNOLOGIE 


Figure 10 — Utilisation de chaînes identiques quasi synchronisées : diagramme tempo¬ 
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entre le niveau de sécurité recher¬ 
ché d’une part et, d’autre part, les 
différentes contraintes mention¬ 
nées pour chacune des méthodes 
présentées ici. 
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Redondance logicielle [1], [2] 

Cette forme de redondance, plus 
communément appelée « redon¬ 
dance temporelle », consiste à faire 
exécuter séquentiellement la même 


fonction par des modules de pro¬ 
grammes identiques ou différents. 

Les parties dedogiciel ajoutées 
dans des buts de contrôles, tests ou 
aides à diagnostic ne constituent 
pas, à proprement parler, une 
redondance logicielle. 

• Différentes formes 
de redondance logicielle [3], [4] 

Une seule version répétée 
dans le temps 

Cette méthode consiste à écrire 
le programme de telle sorte qu’une 
tâche ne soit considérée comme 
terminée que si une même 
séquence d’instructions a été répé¬ 
tée une ou plusieurs fois dans le 
temps, cette dernière n’étant pré¬ 
sente qu’une fois en mémoire. 

A l’issue de chacune de ces 
séquences, les résultats sont 
stockés à des emplacements 
mémoires différents. Au n' ème ré¬ 
sultat fourni, le contrôle s’effectue 
par une comparaison logicielle déli¬ 
vrant un résultat unique en sortie; 
toute discordance des résultats en¬ 
traîne une mise en sécurité du sys¬ 
tème. . . 

La séquence d’instructions ainsi 
considérée doit être exempte de 
toute erreur de conception afin 
d’éviter la répétition de traitements 
erronés qui fourniraient des résul¬ 
tats identiques en sortie bien que 
totalement faux. D’autre part, il 
faut prêter une attention particu¬ 
lière à la programmation de la 
tâche d’acquisition de données. 

n versions 

Une variante du cas précédent 
consiste à exécuter successivement 
des tâches assurant la même fonc¬ 
tion par des séquences d’instruc¬ 
tions stockées à des emplacements 
mémoires différents. 

Dans le but d’effectuer une ré¬ 
partition spatiale et afin d’éviter le 
parasitage simultané de l’ensemble 
des n versions, il sera bon d’utiliser 
des boîtiers mémoires différents. 
Ces n versions peuvent être homo¬ 
gènes ou hétérogènes. 

Caractéristiques de ces méthodes 

Ces méthodes peuvent être 
appliquées lors de la conception 
d’un système ou lors de sa phase 
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d’exploitation (par exemple : pro¬ 
gramme d’application d’un auto¬ 
mate programmable...). Dans ce 
dernier cas, le temps d’exécution 
est pénalisé et peut être néfaste 
pour des applications en « temps 
réel ». 

Les avantages et les inconvé¬ 
nients de ces méthodes sont les sui¬ 
vantes : 

— avec l’utilisation d une seule 
version : . 

. détection de défauts fugitifs sur 
mémoires RAM ou bus interne, 

. un seul emplacement mémoire 
utilisé pour le stockage de la ver¬ 
sion. 

-— avec l’utilisation de n versions 
homogènes : 

. détection de défauts fugitifs ou 
permanents sur certains emplace¬ 
ments mémoires (collage de 


diversification des outils d’ana- 
lyse, 

. temps total de l’étude important, 
. coût total élevé, ^ 

. mise au point plus complexe. 

Les trois configurations citées ci- 
dessus montrent que l’on peut amé¬ 
liorer le niveau de sécurité d’un sys¬ 
tème en utilisant la redondance 
logicielle; la première propose une 
solution réalisable a posteriori sur 
le système, l’utilisation des n ver¬ 
sions nécessite par contre des 
modifications des cartes électroni¬ 
ques notamment au niveau des 
plans mémoires. Ces derniers ré¬ 
partis spatialement auront une 
réaction différente aux parasites et 
la défaillance de l’un d’eux ne 
pénalisera pas l’ensemble du sys¬ 
tème. 

• Références bibliographiques 


bits...), 

, utilisation d’une seule équipe de 

conception/programmation, 

, mise au point identique à l’utilisa¬ 
tion d’une seule version, 

, taille mémoire pouvant se révéler 
importante. 

— avec l’utilisation de n versions 
hétérogènes : 

. détection de défauts fugitifs et 
permanents, 

• détection de défaillances internes 
du microprocesseur, 

. détection d’erreurs de program¬ 
mation, 

. taille mémoire parfois impor¬ 
tante, . 

. utilisation de plusieurs équipés de 
conception/programmation avec 
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j Redondance 
d’informations 



On peut, sur un système, faire la 
distinction entre deux types d’in¬ 
formations : 

— Les informations venant du 
monde extérieur, 

— Les informations en cours de 
traitement par l’unité centrale. 

Afin d’assurer l’intégrité de la 
sécurité du système, différentes 
méthodes peuvent être utilisées. 


Informations venant 
du monde extérieur 

Que ce soit pour un système sim¬ 
ple (une chaîne) ou pour un sys¬ 
tème complexe (deux chaînes ou 
plus), l’acquisition des données du 
monde extérieur par ledit système 
est un problème d’importance pri¬ 
mordiale; quelques précautions 
élémentaires sont à respecter : 

— on veillera à utiliser autant de 
capteurs d’entrées que de nombre 
de chaînes utilisées, 

— on diversifiera, si possible, ces 
dispositifs d’acquisition d’une 
chaîne par rapport aux autres de 
façon à éviter les défauts de mode 
commun, 

— on établira après chaque lecture 
et chaque fois que possible une pro¬ 
cédure de dialogue entre toutes les 
chaînes afin de vérifier la cohérence 
et l’identité des valeurs à traiter,. 

— les précisions des dispositifs 
d’acquisition analogique pouvant 
varier d’une chaîne à l’autre, on 
établira un écart admissible entre 
chacune des valeurs lues par les dif¬ 
férents capteurs utilisés. 

Pour les capteurs de type « tout ou 
rien », on utilisera des capteuts à 
sécurité intrinsèque (par exemple, 
des contacteurs à contacts à arra¬ 
chement). Avec les capteurs analo- 
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giques, on effectuera un contrôle 
de vraisemblance (identité des 
valeurs lues avec les valeurs prédi¬ 
tes, appartenance de la valeur lue à 
une plage de valeurs détermi¬ 
nées...)- 

Informations en coins 
de traitement par le système 

Nous nous limiterons ici à quel¬ 
ques définitions succinctes des 
types de redondance appliqués à ce 
genre d’informations et nous men¬ 
tionnerons les principaux codes uti¬ 
lisés. 

• Mise en œuvre 
de la redondance [1], [2] 

A la suite de parasitage (bruit, 
rayonnement, microcoupure, sur¬ 
tension), des informations utiles, 
bits ou mots, peuvent être alté¬ 
rées : il est donc impératif de met¬ 
tre en œuvre des moyens de con¬ 
trôle de la validité de ces informa¬ 
tions et notamment d avoir recours 
à la redondance. 

Cette dernière sera utilisée dans 
les transferts de données, parallèles 
ou séries, entre les organes d’en¬ 
trée, de traitement, de stockage et 
de sortie. 

Elle correspond soit à un codage 
d’un mot de données, soit à une 
adjonction à ce mot, de bits supplé¬ 
mentaires. Dans le premier cas, il 
s’agit d’une structure dite d’infor¬ 
mations non séparables, dans le 


Figure 12 _ Exemple de redondance hétérogène d’ordre deux utilisant des techniques 

_ < Example of dissimilar redundancy with two charnels which use different 

technics. 
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second cas d’une structure d infor¬ 
mations séparables. 

Dans les deux cas, la mise en 
œuvre nécessite du matériel et (ou) 
du logiciel supplémentaire. 

• Informations séparables 

L’information utile est totale¬ 
ment incluse, sans déformation 
dans le message codé, ce dernier 
étant obtenu par adjonction aux 
bits de l’information utile, de bits 
supplémentaires (parfois appelés 
« clés de contrôle »). 

Nous citerons pour mémoire les 
codes séparables les plus connus 
ainsi que des références bibliogra¬ 
phiques : 


Figure 13 — Exemple de redondance hétérogène d’ordre deux utilisant deif technologies 

— d Èxampleof dissimilar redundancy with two charnels which use different 
technologies. __ 
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— bit de parité ou contrôle par 
redondance verticale : [1], [4], [5] 

— contrôle par redondance hori¬ 
zontale : [1], [5] , 

— code linéaire entrelace : |4J, loj 

— contrôle par redondance cycli¬ 
que : [1], [4], [7] 

— checksum : [4], [8J 

— code de Hamming et code de 
Hamming « modifié » : [9], [10], 

— code résidu A : [4] 

— code de Berger : [12], [2] 

• Informations non séparables [3] 

Elles sont obtenues par un 
codage de l’information utile grâce 
à des tables de conversion ou un 
ensemble d’opérations logiques 
appliqué au mot traité. 

Nous mentionnons ci-dessous les 
codes non séparables les plus 

— code arithmétique AN : [4], [7] 
_ code « k parmi n » et code 

double rail » : [3], [4] 
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Figure 14 _ Exemple de redondance hétérogène d’ordre trois utilisant des architectures 

— d Exampieof dissintilar redundancy with three channels which use different 
architectures. 
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Conclusion 

Ce tour d’horizon montre qu’il 
existe de nombreux moyens per¬ 
mettant d’améliorer le niveau de 
sécurité d’un système à micropro¬ 
cesseur par application du concept 
de redondance. 


Parmi toutes les méthodes citées, 
certaines sont à mettre en œuvre 
dès la conception du système alors 
que d’autres permettent d’amélio¬ 
rer un dispositif existant. Le 
concepteur ou l’utilisateur pourra 
donc choisir celle qui convient le 
mieux à son application selon des 
critères de coût, de facilité et de 
possibilité de mise en œuvre et des 
exigences de sécurité recherchées. 

Quelle que soit la méthode re¬ 
tenue, on veillera à apporter les 
mêmes soins de réalisation au ni¬ 
veau des organes d'entrées-sorties, 
capteurs et actionneurs qu’au ni¬ 
veau de l’unité de traitement. 
L’organe de décision, comparateur 
ou voteur, devra être conçu en 
sécurité intrinsèque puisqu’il cons¬ 
titue la clé de voûte de toute archi¬ 
tecture redondante. 

Comme des énergies de plus en 
plus faibles sont capables de pertur¬ 
ber les nouveaux circuits du fait de 
leur degré d’intégration de plus en 
plus grand, l’utilisation de la redon¬ 
dance ne dispense pas de l’applica¬ 
tion des règles de l’art en matière 
de conception : blindage, filtrage... 

Une fois le système réalise, il 
sera nécessaire de s’assurer que son 
niveau de sécurité est bien celui 
escompté. Pour cela, on procédera 
à des tests de qualification permet¬ 
tant d’observer le comportement 


du système en présence de défail¬ 
lances. On pourra notamment 
avoir recours à la simulation physi¬ 
que de défauts au niveau du maté¬ 
riel et du logiciel. L’I.N.R.S. a 
d’ailleurs conçu un appareil per¬ 
mettant de réaliser ce type de test 
de façon automatique. 

L’obtention de systèmes à haut 
niveau de sécurité n’est pas du 
domaine de l’utopie; la redondance 
est déjà utilisée dans des systèmes 
complexes nécessitant un très haut 
niveau de sécurité (nucléaire, aéro¬ 
nautique, spatial, transport...) : ce 
document montre que certaines 
méthodes de mise en œuvre de la 
redondance peuvent être appli¬ 
quées dans l’industrie à des coûts 
raisonnables lorsque l’intégration 
de ce concept se fait dès la phase de 
conception. 

Afin d’appréhender au mieux les 
travaux réalisés dans ce domaine, 
l’I.N.R.S. participe à un projet de 
collaboration entre sept organismes 
de la Communauté Européenne 
(R.F.A., Grande-Bretagne, Dane¬ 
mark et France) sur le thème 
« Évaluation, structure et fonction¬ 
nement des systèmes électroniques 
programmables industriels ^ appli¬ 
qués à la robotique »; les résultats 
de ce groupe de travail seront pu¬ 
bliés en mai 1986 lors d’un congrès 
à Guernesey. 
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